兖州方圆 - 菏泽市中医医院.docVIP

菏泽市中医医院信息系统等级保护测评项目 采购文件 日 期： ____ 第一部分 采购公告 一、采 购 人：菏泽市中医医院 二、项目说明： 项目名称：菏泽市中医医院信息系统等级保护测评项目 建设地点：菏泽市中医医院 三、 采购内容：菏泽市中医医院信息安全等级保护测评 四、投标人资质要求： 1、在中华人民共和国境内合法注册，具备独立法人资格，符合《中华人民共和国政府采购法》第二十二条的规定 2、投标人须具备 投标人须具备 项目综述 项目背景 随着信息技术的发展，以及审计工作信息化的深化，我单位对信息系统的依赖程度逐渐增强。但同时，信息系统的安全问题也日益突出，面临的威胁越来越多样化和频繁化，被攻击的频率越来越高，信息系统存在的安全风险已不容忽视。非涉密信息系统和涉密信息系统各类安全事件的发生将极大可能造成信息失泄密、服务中断、信息被篡改等后果，继而使国家利益受到损失。因此，对信息系统特别是重要的信息系统进行不断的信息安全防范及检查是十分必要的。 项目目标 1.按照国家等级保护相关标准和要求，对现有系统开展信息系统安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，完成等级保护测评报告。 2. 按照信息系统安全等级保护的相关要求，梳理和完善菏泽市中医医院信息安全管理制度，健全和完善信息安全管理体系和技术保障体系。 二、项目实施参照标准及依据 主要依据标准 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）； 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。 《信息安全技术 信息系统安全等级保护基本要求》（ GB/T22239-2008） 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护实施指南》 《信息安全技术 信息系统安全等级保护测评要求》 《信息安全技术 信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006） 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术 服务器技术要求》（GB/T 21028-2007） 《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006） 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则 三、项目内容 1.等保测评 主要对HIS系统（三级）、电子病历系统(三级)的等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作。最终完成等级保护测评报告。 测评的内容包括但不限于以下内容： 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 （1）物理安全 根据菏泽市中医医院信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。 （2）网络安全 根据菏泽市中医医院信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。 （3）主机安全 主机安全现场测评包括对菏泽市中医医院信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。 （4）应用安全 应用安全现场测评包括对菏泽市中医医院信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、